Ведение журнала

  • Статья

Область применения: Exchange Server 2013 г.

Функция ведения журнала позволяет организации соответствовать правовым, регулятивным и организационным требованиям, записывая все входящие и исходящие сообщения электронной почты. При планировании хранения сообщений и соответствия требованиям важно понимать ведение журнала, как он вписывается в политики соответствия требованиям вашей организации и как Microsoft Exchange Server 2013 помогает защитить сообщения журнала.

Важность ведения журнала

Важно понимать разницу между ведением журнала и архивированием данных.

  • Ведение журнала — это возможность организации записывать все входящие и исходящие сообщения, включая сообщения электронной почты, для использования в стратегии хранения или архивирования электронной почты организации. Для соблюдения постоянно растущего количества регулятивных и нормативных требований многие организации должны хранить записи об обмене сообщениями, возникающем при выполнении сотрудниками ежедневных деловых задач.

  • Архивация данных — это резервное копирование данных, их удаление из собственной среды и хранение в другом месте, что снижает нагрузку на хранилище данных. Ведение журнала Exchange можно применять как средство стратегии архивирования или хранения электронной почты.

Хотя ведение журнала может не оговариваться конкретным нормативным актом, для соблюдения условий нормативов может потребоваться ведение журнала в обязательном порядке. Например, корпоративные руководители в некоторых сферах финансовой деятельности отвечают за заявления, которые делают их сотрудники клиентам. Для проверки точности заявлений корпоративный руководитель может ввести правило, требующее, чтобы менеджеры регулярно знакомились с некоторой частью сообщений, которыми обмениваются сотрудники с клиентами во время взаимодействия. Каждый квартал менеджеры проверяют соответствие поведения каждого сотрудника существующим требованиям и дают ему оценку. После того как все менеджеры передают отчет со своими оценками руководителю предприятия, он сообщает обобщенные данные по компании ее правлению. В этом примере сообщения электронной почты могут быть одним из видов взаимодействия сотрудников с клиентами, которые должны контролироваться менеджерами, поэтому ведение журнала применяется для регистрации всех сообщений электронной почты, отправляемых сотрудниками, отвечающими за связи с клиентами. Под такие нормативы также могут попадать и другие способы взаимодействия с клиентами, такие как факсы и телефонные разговоры. Возможность регистрации в журнале всех типов данных на предприятии является важной функцией архитектуры информационной системы.

В следующем списке перечисляются некоторые из наиболее известных норм США и международных нормативов, определяющих требования, для реализации которых может использоваться технология ведения журналов.

  • Акт Сарбейнс-Оксли от 2002 г. (SOX)

  • Правило комиссии по бирже ценных бумаг 17a-4 (правило SEC 17 A-4)

  • Национальная ассоциация дилеров по ценным бумагам 3010 и 3110 (NASD 3010 и 3110)

  • Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley) (Акт финансовой модернизации)

  • Акт 2001 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 2003 года о защите конфиденциальности данных в финансовых учреждениях

  • Акт 1996 года о передаче и защите данных учреждений здравоохранения (HIPAA)

  • Акт 2001 года об объединении и усилении Америки за счет предоставления надлежащих средств, необходимых для предотвращения терроризма (Патриотический акт)

  • Директива по защите данных Европейского союза

  • Акт о защите личной информации в Японии

Агент ведения журнала

В организации Exchange 2013 весь трафик электронной почты направляется серверами почтовых ящиков. Все сообщения проходят по крайней мере один сервер, на котором запущена служба транспорта за время существования. Агент законодательства — это транспортный агент, ориентированный на соответствие требованиям, который обрабатывает сообщения на серверах почтовых ящиков. Он активируется при транспортных событиях OnSubmittedMessage и OnRoutedMessage .

Примечание.

В Exchange 2013 агент журнала является встроенным агентом. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Агенты транспорта.

В Exchange 2013 доступны следующие параметры параметров параметров журналов:

  • Стандартное ведение журнала. Стандартный журнал настраивается в базе данных почтовых ящиков. Он позволяет агенту журналирования регистрировать все сообщения, отправленные в почтовые ящики и из почтовых ящиков, расположенных в определенной базе данных почтовых ящиков. Чтобы регистрировать все сообщения от всех получателей и отправителей, необходимо настроить ведение журнала во всех базах данных почтовых ящиков на всех серверах почтовых ящиков в организации.

  • Ведение журнала уровня "Премиум" позволяет агенту журнала выполнять более детализированное ведение журнала с помощью правил журнала. Вместо того, чтобы регистрировать все почтовые ящики, размещенные в базе данных почтовых ящиков, можно настроить правила журнала в соответствии с потребностями вашей организации, регистрируя отдельных получателей или членов групп рассылки. Для использования лицензирования уровня "Премиум" требуется клиентская лицензия exchange Enterprise.

При включении стандартного логирования в базе данных почтовых ящиков эти сведения сохраняются в Active Directory и считываются агентом журналов. Аналогичным образом, правила журнала, настроенные с ведением журнала уровня "Премиум", также сохраняются в Active Directory и применяются агентом журналов. Дополнительные сведения о настройке стандартного и премиум-журнала см. в разделе Управление ведением журнала.

Правила журнала

Ниже приведены ключевые аспекты правил журнала:

  • Правило журнала область. Определяет, какие сообщения регистрируются агентом журнала.

  • Получатель журнала. Указывает SMTP-адрес получателя, который требуется записывать в журнал.

  • Почтовый ящик журнала. Указывает один или несколько почтовых ящиков, используемых для сбора отчетов журнала.

Область действия правил журнала

Можно использовать правила ведения журнала для регистрации в журнале только внутренних сообщений, только внешних сообщений или сообщений обоих типов. Эти области действия описываются в следующем списке.

  • Только внутренние сообщения. Правила журнала с область настроены для записи внутренних сообщений, отправляемых между получателями в организации Exchange.

  • Только внешние сообщения: правила журнала, в область задается запись внешних сообщений, отправляемых получателям или полученных от отправителей за пределами организации Exchange.

  • Все сообщения: правила журнала, в область задается запись всех сообщений, проходящих через организацию, независимо от происхождения или назначения. К ним относятся сообщения, которые, возможно, уже обработаны правилами журнала во внутренней и внешней областях.

Получатель журнала

Реализовать правила ведения журнала можно, задав SMTP-адрес получателя, которого необходимо регистрировать в журнале. Получателем может быть почтовый ящик Exchange, группа рассылки, почтовый пользователь или контакт. На этих получателей могут распространяться требования законодательств, или эти получатели могут быть вовлечены в судебное разбирательство, и сообщения электронной почты или другие средства взаимодействия могут собираться в качестве доказательств. Указывая конкретных получателей или определенные группы получателей, можно легко настроить среду ведения журнала, которая будет соответствовать рабочим процессам организации, а также требованиям законов и нормативов. Выбор определенных получателей, которые должны регистрироваться в журнале, позволяет снизить издержки на хранение и другие затраты, связанные с хранением большого количества данных.

Все сообщения, отправляемые или принимаемые указанными в правиле получателями, для которых ведется журнал, регистрируются в журнале. Если в качестве получателя, для которого ведется журнал, указана группа рассылки, в журнале будут регистрироваться все сообщения, отправляемые и принимаемые участниками этой группы рассылки. Если получатель не будет указан, в журнале будут регистрироваться все сообщения, отправляемые получателям, соответствующим области действия правила журнала, и принимаемые от них.

Получатели журналов с включенной поддержкой единой системы обмена сообщениями

Во многих организациях, где реализовано ведение журнала, для объединения инфраструктуры электронной почты, голосовой почты и факсимильной связи также используется единая система обмена сообщениями. Однако иногда создание отчетов журнала для сообщений, созданных единой системой обмена сообщениями, не является необходимым. В таких случаях можно решить, будет ли сервер единой системы обмена сообщениями Exchange обрабатывать сообщения голосовой почты и сообщения уведомлений о пропущенных вызовах или пропускать такие сообщения. Если организации не требуется заносить в журнал такие сообщения, тогда, пропуская их, можно уменьшить объем места на диске, необходимый для хранения отчетов журнала.

Примечание.

Сообщения, содержащие факсы, создаваемые службой единой системы обмена сообщениями, всегда регистрируются в журнале, даже если отключить ведение журнала голосовой почты единой системы обмена сообщениями и уведомления о пропущенных вызовах.

Дополнительные сведения о включении и отключении сообщений голосовой почты и уведомлений о пропущенных вызовах см. в разделе Disable or Enable Journaling of Voice Mail and Missed Call Notifications.

Почтовый ящик журналов

Почтовый ящик журналов используется для сбора отчетов журнала. Настройка почтового ящика службы ведения журнала зависит от требований политик, законов и нормативов, применяемых в организации. Можно указать один почтовый ящик журнала, в который будут собираться сообщения для всех правил журнала, настроенных в организации, либо использовать разные почтовые ящики для каждого правила журнала или набора правил.

Важно!

Нельзя назначить почтовый ящик Microsoft 365 или Office 365 в качестве почтового ящика журнала. Возможна доставка отчетов журнала в локальную систему архивации или стороннюю службу архивации. Если вы используете гибридное развертывание с почтовыми ящиками, разделенными между локальными серверами и Microsoft 365 или Office 365, вы можете назначить локальный почтовый ящик в качестве почтового ящика журнала для microsoft 365 или Office 365 и локальных почтовых ящиков.

Важно!

Почтовые ящики журналов содержат очень важные сведения. Их необходимо обезопасить, поскольку в них собираются сообщения, отправляемые и принимаемые получателями в организации. Эти сообщения могут относиться к юридическим процессам или подпадать под нормативные требования. Различные законы требуют, чтобы сообщения были защищены от несанкционированного доступа до того, как они будут переданы в следственные органы. Рекомендуется создать политики, управляющие доступом к почтовым ящикам журналов в организации, чтобы доступ предоставлялся только тем лицам, у которых имеется прямая необходимость в нем. Проконсультируйтесь с юристами, чтобы убедиться, что система ведения журналов соответствует всем законам и нормативам, действующим для организации.

Важно!

Почтовые ящики журналов должны принимать сообщения размером, равным или превышающим максимальный размер сообщений, установленный в вашей организации. Если вы настроили исключения для MaxSendSize и MaxReceiveSize в почтовом ящике отдельного пользователя, размер которых превышает общий параметр в TransportConfig, необходимо соответствующим образом задать maxSendSize почтового ящика журнала и MaxReceiveSize, чтобы убедиться, что сообщения, отправляемые в журнал, принимаются, а не помещаются в очередь или отклоняются. Сообщения, отклоненные почтовым ящиком журнала, будут периодически повторяться, что приводит к ненужному росту базы данных и трате ресурсов. Кроме того, рекомендуется настроить альтернативный почтовый ящик журнала, чтобы предотвратить возникновение других ситуаций, не являющихся конечными.

Альтернативный почтовый ящик журналов

Если почтовый ящик службы ведения журнала недоступен, можно запретить сбор недоставленных отчетов журнала в очередях почты на серверах почтовых ящиков. Вместо этого можно использовать альтернативный почтовый ящик журналов для сохранения таких отчетов журнала. Альтернативный почтовый ящик журналов получает отчеты журналов в виде вложений в отчеты о недоставке, созданные почтовым ящиком журналов или сервером с почтовым ящиком журналов, который отклоняет доставку отчета журнала или становится недоступным.

Когда почтовый ящик журналов снова становится доступным, можно воспользоваться возможностью OfficeOutlook Отправить заново, чтобы отправить отчеты журнала для доставки в почтовый ящик журналов.

При настройке альтернативного почтового ящика журналов все отчеты журнала, которые были отклонены или не могут быть доставлены в организации Exchange, доставляются в этот альтернативный почтовый ящик. Следовательно, важно обеспечить возможность приема альтернативным почтовым ящиком журналов и сервером почтовых ящиков, где он расположен, большого количества отчетов журнала.

Предупреждение

Настроив альтернативный почтовый ящик журнала, необходимо отслеживать его для гарантии того, что он не станет недоступен одновременно с почтовыми ящиками журнала. Если альтернативный почтовый ящик журналов становится недоступным и отклоняет отчеты журнала, они удаляются без возможности восстановления.

Поскольку альтернативный почтовый ящик журналов собирает все отклоненные отчеты журнала всей организации Exchange, необходимо быть уверенным в том, что тем самым не нарушаются никакие законы или нормы, действующие в организации. Если законы или нормы запрещают организации хранение отчетов журнала, отправленных на различные почтовые ящики журналов, в одном альтернативном почтовом ящике журналов, настройка такого альтернативного почтового ящика может оказаться невозможной. Этот вопрос необходимо обсудить с юристами и определить, можно ли использовать альтернативный почтовый ящик журналов.

При настройке альтернативного почтового ящика журналов необходимо использовать те же критерии, что и при создании почтового ящика журналов.

Важно!

Альтернативный почтовый ящик журналов должен рассматриваться как специальный выделенный почтовый ящик. Все сообщения, отправленные непосредственно на альтернативный почтовый ящик журналов не регистрируются в журнале.

Репликация правил журнала

Правила журнала хранятся в Active Directory и применяются всеми серверами почтовых ящиков в организации Exchange 2013. При создании, изменении или удалении правила журнала это изменение реплицируется на все серверы Active Directory в организации. Все серверы почтовых ящиков в организации получают обновленную конфигурацию правил журнала с серверов Active Directory и применяют новые или измененные правила журнала.

Реплицируя все правила журнала в организации, Exchange 2013 позволяет предоставить согласованный набор правил журнала в организации. Все сообщения, проходящие через организацию Exchange 2013, подчиняются одинаковым правилам журнала.

Важно!

Репликация правил журнала в организации зависит от репликации Active Directory. Время репликации между контроллерами домена Active Directory зависит от количества сайтов в организации, скорости ссылок и других факторов, не зависящих от Microsoft Exchange. Учитывайте задержки репликации при реализации правил журнала в организации. Дополнительные сведения о репликации Active Directory см. в статье Общие сведения о репликации Active Directory и управлении топологией с помощью Windows PowerShell.

Каждый сервер почтовых ящиков кэширует членство в группах рассылки, чтобы избежать повторяющегося кругового пути в Active Directory. Расширенный кэш групп сокращает количество запросов, которые каждый сервер почтовых ящиков должен выполнять к контроллеру домена Active Directory. По умолчанию срок действия записей в расширенном кэше групп истекает через четыре часа. Таким образом, если указать группу рассылки в качестве получателя журнала, изменения в членстве в группе рассылки могут не применяться к правилам журнала до тех пор, пока не будет обновлен расширенный кэш групп. Чтобы принудительно обновить кэш получателей, необходимо остановить и запустить службу транспорта Microsoft Exchange. Это необходимо сделать для каждого сервера почтовых ящиков, на котором требуется принудительно обновить кэш получателей.

Отчеты журнала

Отчет журнала — это сообщение, которое агент ведения журнала создает, когда письмо соответствует правилу журнала и должно быть отправлено в почтовый ящик журналов. Исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Текст отчета журнала включает такие сведения исходного письма, как электронный адрес отправителя, тема сообщения, код сообщения и электронный адрес получателя. Это также называется журналированием конвертов и является единственным методом, поддерживаемым Exchange 2013.

Отчеты журнала и сообщения, защищенные службой управления правами на доступ к данным

При реализации журнала в среде Exchange 2013 необходимо рассмотреть возможность отчеты и сообщения, защищенные IRM. Сообщения, защищенные IRM, влияют на возможности поиска и обнаружения систем архивации сторонних производителей, которые не оснащены встроенной поддержкой RMS (службы управления правами). В Exchange 2013 можно настроить расшифровку отчета журнала, чтобы сохранить копию сообщения с открытым текстом в отчете журнала.

Взаимодействие с Exchange 2007

Между функциями логирования в Exchange 2013, Exchange 2010 и Exchange 2007 нет большой разницы. Однако в Exchange 2010 и более поздних версий программа установки создает отдельный контейнер в Active Directory для хранения правил журнала. При настройке первого сервера Exchange 2010 или более поздней версии в организации Exchange 2007 программа установки создает копию существующих правил журнала в Exchange 2007 и сохраняет их в новом контейнере. После завершения установки правила журнала в обеих версиях Exchange будут согласованы.

После установки, если вы измените конфигурацию правила журнала в Exchange 2010 (или более поздней версии), необходимо внести то же изменение на серверах Exchange 2007, чтобы убедиться, что они согласованы. Аналогичным образом изменения правил журнала в Exchange 2007 также должны быть внесены в Exchange 2010 или более поздней версии. Вы также можете экспортировать правила журнала из Exchange 2007 и импортировать их в Exchange 2013.

Устранение неполадок

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server. Если у вас возникли неполадки с почтовым ящиком JournalingReportDNRTo, изучите статью Правила транспорта и почтовых ящиков в Exchange Online не работает должным образом.